創(chuàng)建新的觸發(fā)任務(wù)

Windows Server 2008系統(tǒng)事件日志功能記錄了服務(wù)器系統(tǒng)中發(fā)生的各種重要事情，比方說(shuō)網(wǎng)絡(luò)訪問、系統(tǒng)登錄、程序運(yùn)行、資源調(diào)用等，記錄的事件內(nèi)容主要包括事件描述、事件來(lái)源、事件類型等。仔細(xì)分析這些事件內(nèi)容，網(wǎng)絡(luò)管理員既能了解服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)，又能對(duì)暗藏在系統(tǒng)中的威脅進(jìn)行及時(shí)處理，保證服務(wù)器系統(tǒng)的運(yùn)行安全性。不過，網(wǎng)絡(luò)管理員必須每次主動(dòng)查看事件日志，才能了解到服務(wù)器系統(tǒng)中發(fā)生了什么事情；如果服務(wù)器系統(tǒng)中發(fā)生了重要事情時(shí)，能否讓W(xué)indows Server 2008系統(tǒng)自動(dòng)彈出提示提醒網(wǎng)絡(luò)管理員呢？答案是肯定的！我們可以利用Windows Server 2008系統(tǒng)的觸發(fā)器功能，來(lái)讓服務(wù)器自動(dòng)地提醒網(wǎng)絡(luò)管理員發(fā)生了哪些重要事件，而不需要每次采用手工方式查看系統(tǒng)日志文件。

創(chuàng)建新的觸發(fā)任務(wù)

Windows Server 2008系統(tǒng)的觸發(fā)任務(wù)是基于特定事件創(chuàng)建的，我們首先需要讓系統(tǒng)能對(duì)某個(gè)故障現(xiàn)象進(jìn)行記錄并生成一個(gè)事件，然后通過該系統(tǒng)新增加的附加任務(wù)功能，將指定的觸發(fā)任務(wù)附加到目標(biāo)事件中，日后一旦相同的事件發(fā)生時(shí)，指定的觸發(fā)任務(wù)就能自動(dòng)運(yùn)行，來(lái)通知網(wǎng)絡(luò)管理員當(dāng)前服務(wù)器系統(tǒng)中發(fā)生了哪些重要的事情。

在默認(rèn)狀態(tài)下，Windows Server 2008系統(tǒng)不會(huì)對(duì)某個(gè)故障現(xiàn)象進(jìn)行自動(dòng)記錄，我們必須對(duì)具體的故障現(xiàn)象進(jìn)行審核，那樣一來(lái)Windows Server 2008系統(tǒng)的事件查看器才能對(duì)具體的故障現(xiàn)象進(jìn)行跟蹤記錄。例如，要想讓W(xué)indows Server 2008系統(tǒng)的事件查看器自動(dòng)記憶用戶賬號(hào)被惡意刪除事件時(shí)，我們就應(yīng)該依次單擊“開始/“設(shè)置/“控制面板命令，在彈出的系統(tǒng)控制面板窗口中雙擊“管理工具圖標(biāo)，再在管理工具列表中雙擊“本地安全策略選項(xiàng)，打開本地安全策略列表窗口；

在該列表窗口的左側(cè)顯示區(qū)域，依次展開“安全策略/“審核策略分支選項(xiàng)，在“審核策略分支下面雙擊“審核賬戶管理選項(xiàng)，打開如圖1所示的選項(xiàng)設(shè)置對(duì)話框，選中“本地安全設(shè)置標(biāo)簽，在對(duì)應(yīng)的標(biāo)簽頁(yè)面中選中“成功或“失敗選項(xiàng)，再單擊“確定按鈕，如此一來(lái)Windows Server 2008系統(tǒng)就會(huì)自動(dòng)跟蹤并記錄添加或刪除用戶帳號(hào)事件了。

一旦對(duì)指定操作啟用了審核功能后，Windows Server 2008系統(tǒng)就會(huì)在對(duì)應(yīng)的日志文件中自動(dòng)記錄下相關(guān)的操作事件，例如以后只有有用戶帳號(hào)被偷偷刪除操作發(fā)生時(shí)，Windows Server 2008系統(tǒng)的日志文件中就會(huì)自動(dòng)出現(xiàn)相應(yīng)的記錄文件。在查看這個(gè)具體的記錄內(nèi)容時(shí)，我們可以先打開Windows Server 2008系統(tǒng)的“開始菜單，從中依次點(diǎn)選“設(shè)置、“控制面板、“系統(tǒng)和維護(hù)、“管理工具選項(xiàng)，在彈出的管理工具列表窗口中單擊“事件查看器圖標(biāo)，打開事件查看器控制臺(tái)窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點(diǎn)選項(xiàng)，我們從該選項(xiàng)下面會(huì)看到“系統(tǒng)、“安全、“應(yīng)用程序、“轉(zhuǎn)發(fā)事件、“安裝程序等不同類別的事件內(nèi)容，用鼠標(biāo)雙擊

某一類別下面的具體事件記錄，就能打開對(duì)應(yīng)事件記錄的詳細(xì)信息界面，在這里我們便可以了解到指定事件的來(lái)源、事件ID以及其他說(shuō)明信息了。

不過，每次采用手工方法查看事件記錄內(nèi)容往往比較煩瑣，而且網(wǎng)絡(luò)管理員也很難在第一時(shí)間知道服務(wù)器系統(tǒng)中究竟發(fā)生了哪些重要的事件。為此，我們可以對(duì)某一特定的事件附加觸發(fā)任務(wù)，當(dāng)以后有相同的事件記錄再次生成時(shí)，Windows Server 2008系統(tǒng)的觸發(fā)器就能自動(dòng)工作，來(lái)執(zhí)行指定的任務(wù)計(jì)劃，通過這個(gè)任務(wù)計(jì)劃我們可以把當(dāng)前發(fā)生的事件內(nèi)容自動(dòng)通知給網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員得到通知信息后，就能及時(shí)采取措施來(lái)解決服務(wù)器系統(tǒng)中存在的安全隱患了。

在創(chuàng)建新的觸發(fā)任務(wù)時(shí)，我們先要從事件查看器窗口中找到具體的某一事件記錄，例如用戶帳號(hào)被刪除的事件記錄，然后用鼠標(biāo)右鍵單擊該記錄選項(xiàng)，從彈出的快捷菜單中單擊“將任務(wù)附加到此事件命令，打開觸發(fā)任務(wù)創(chuàng)建向?qū)?duì)話框，依照向?qū)崾驹O(shè)置好新任務(wù)的名稱信息，之后選中一個(gè)合適的觸發(fā)方式，Windows Server 2008系統(tǒng)的觸發(fā)器為用戶提供了三種觸發(fā)方式，它們分別為顯示消息、發(fā)送電子郵件、啟動(dòng)應(yīng)用程序，選擇好某種觸發(fā)方式后，再設(shè)置好具體的觸發(fā)內(nèi)容，最后單擊“完成按鈕結(jié)束新觸發(fā)任務(wù)的創(chuàng)建工作。

管理已有觸發(fā)任務(wù)

創(chuàng)建成功的各個(gè)觸發(fā)任務(wù)會(huì)自動(dòng)出現(xiàn)在Windows Server 2008系統(tǒng)的任務(wù)計(jì)劃列表中，進(jìn)入任務(wù)計(jì)劃列表窗口，我們就可以對(duì)已有觸發(fā)任務(wù)進(jìn)行隨心所欲地管理、設(shè)置了。在管理已有觸發(fā)任務(wù)時(shí)，我們可以按照如下步驟進(jìn)行操作：

首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows Server 2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始/“程序/“附件/“系統(tǒng)工具/“任務(wù)計(jì)劃程序命令，打開對(duì)應(yīng)系統(tǒng)的任務(wù)計(jì)劃列表窗口；

其次在該列表窗口的左側(cè)顯示區(qū)域，用鼠標(biāo)逐一展開“任務(wù)計(jì)劃程序庫(kù)/“Microsoft/“事件查看器任務(wù)分支選項(xiàng)，在對(duì)應(yīng)“事件查看器任務(wù)分支選項(xiàng)的中間顯示區(qū)域，我們會(huì)看到Windows Server 2008系統(tǒng)中所有已經(jīng)創(chuàng)建成功的觸發(fā)任務(wù)。

在這里我們可以對(duì)每一個(gè)觸發(fā)任務(wù)的各種參數(shù)進(jìn)行修改，例如要修改某個(gè)任務(wù)計(jì)劃的觸發(fā)方式時(shí)，我們只要用鼠標(biāo)右鍵單擊具體的觸發(fā)任務(wù)，從彈出的如圖2所示右鍵菜單中執(zhí)行“屬性命令，打開目標(biāo)觸發(fā)任務(wù)的屬性設(shè)置窗口。

在該設(shè)置窗口的“常規(guī)標(biāo)簽頁(yè)面中，我們可以指定目標(biāo)觸發(fā)任務(wù)的運(yùn)行選項(xiàng)，例如是否在登錄系統(tǒng)時(shí)運(yùn)行目標(biāo)觸發(fā)任務(wù)，還是不管用戶是否登錄都要運(yùn)行等，對(duì)于一些特殊的觸發(fā)任務(wù)，我們有時(shí)需要在這里選中“使用最高權(quán)限運(yùn)行選項(xiàng)，確保目標(biāo)觸發(fā)任務(wù)中既定的操作能夠順利地在Windows Server 2008系統(tǒng)中被成功執(zhí)行。

在“觸發(fā)器標(biāo)簽頁(yè)面中，我們可以通過單擊“新建按鈕，來(lái)重新創(chuàng)建一個(gè)新的觸發(fā)器任務(wù)，通過單擊“編輯按鈕來(lái)對(duì)當(dāng)前選定的觸發(fā)器進(jìn)行一些高級(jí)設(shè)置，例如可以指定目標(biāo)觸發(fā)任務(wù)的延遲任務(wù)時(shí)間、重復(fù)任務(wù)間隔、過期日期等參數(shù)，通過單擊“刪除按鈕來(lái)將一些不需要的觸發(fā)任務(wù)從Windows Server 2008系統(tǒng)中刪除掉。

在“操作標(biāo)簽頁(yè)面中，我們可以查看到目標(biāo)觸發(fā)任務(wù)正在使用的觸發(fā)方式是什么，如果需要調(diào)整使用新的觸發(fā)方式時(shí)，可以先選中當(dāng)前正在使用的觸發(fā)方式，并單擊“刪除按鈕將目標(biāo)觸發(fā)方式刪除掉，之后單擊“新建按鈕來(lái)創(chuàng)建一個(gè)新的觸發(fā)方式。此外，我們還能單擊這里的“編輯按鈕，來(lái)修改當(dāng)前正在使用的觸發(fā)方式的一些觸發(fā)參數(shù)，例如修改觸發(fā)標(biāo)題、觸發(fā)內(nèi)容，選用不同的觸發(fā)程序等。

在“條件標(biāo)簽頁(yè)面中，我們可以指定用于與觸發(fā)器一起判斷是否應(yīng)運(yùn)行該任務(wù)的條件，要是在這里設(shè)置的條件不是真，那么目標(biāo)觸發(fā)任務(wù)將不會(huì)被自動(dòng)執(zhí)行。例如，我們可以設(shè)置在本地計(jì)算機(jī)處于空閑狀態(tài)多長(zhǎng)時(shí)間后就能自動(dòng)運(yùn)行當(dāng)前觸發(fā)任務(wù)，也可以設(shè)置只有本地計(jì)算機(jī)在使用交流電源時(shí)才啟動(dòng)運(yùn)行當(dāng)前觸發(fā)任務(wù)，甚至還能設(shè)置在指定網(wǎng)絡(luò)連接有效時(shí)才能啟動(dòng)運(yùn)行目標(biāo)觸發(fā)任務(wù)（如圖3所示）。

在“設(shè)置標(biāo)簽頁(yè)面中，我們可以指定影響目標(biāo)觸發(fā)任務(wù)的一些其他設(shè)置參數(shù)。例如，我們可以設(shè)置在目標(biāo)任務(wù)觸發(fā)失敗后，過多長(zhǎng)時(shí)間重新啟動(dòng)運(yùn)行目標(biāo)觸發(fā)任務(wù)；也可以指定目標(biāo)觸發(fā)任務(wù)運(yùn)行時(shí)間超過多長(zhǎng)時(shí)間時(shí)，自動(dòng)停止運(yùn)行任務(wù)

觸發(fā)器的實(shí)戰(zhàn)應(yīng)用

巧妙利用觸發(fā)器功能，我們可以對(duì)Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行即時(shí)監(jiān)控，一旦服務(wù)器系統(tǒng)發(fā)生意外事件時(shí)，觸發(fā)器能夠自動(dòng)把發(fā)生的事件通知給服務(wù)器管理員，以便管理員在第一時(shí)間采取措施保護(hù)服務(wù)器運(yùn)行狀態(tài)不受影響。

例如，我們可以對(duì)Windows Server 2008系統(tǒng)賬號(hào)的創(chuàng)建行為進(jìn)行跟蹤，一旦有非法賬號(hào)創(chuàng)建時(shí)，網(wǎng)絡(luò)管理員能夠及時(shí)收到報(bào)警信息。要實(shí)現(xiàn)這樣的監(jiān)控目的，我們可以先打開Windows Server 2008系統(tǒng)的本地安全策略列表窗口，依次點(diǎn)選其中的“安全策略/“審核策略/“審核賬戶管理選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，之后選中“成功或“失敗選項(xiàng)，再單擊“確定按鈕，這樣的話Windows Server 2008系統(tǒng)就能自動(dòng)跟蹤并記錄添加或刪除用戶帳號(hào)事件了。

接著用鼠標(biāo)右鍵單擊“計(jì)算機(jī)圖標(biāo)，從彈出的快捷菜單中執(zhí)行“管理命令，打開對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理窗口，在該管理窗口的左側(cè)顯示區(qū)域依次選中“配置/“本地用戶和組/“用戶選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，再執(zhí)行右鍵菜單中的“新用戶命令，在其后彈出的用戶賬號(hào)創(chuàng)建對(duì)話框中，隨意創(chuàng)建一個(gè)新的用戶賬號(hào)，這時(shí)Windows Server 2008系統(tǒng)的事件查看器窗口中就會(huì)自動(dòng)生成一個(gè)創(chuàng)建新用戶賬號(hào)的事件了。

下面，依次單擊Windows Server 2008系統(tǒng)“開始菜單中的“設(shè)置/“控制面板/“系統(tǒng)和維護(hù)/“管理工具選項(xiàng)，再雙擊“事件查看器圖標(biāo)，打開事件查看器控制臺(tái)窗口，在該窗口的左側(cè)顯示區(qū)域展開“Windows日志節(jié)點(diǎn)選項(xiàng)，然后從該選項(xiàng)下面的“系統(tǒng)分支下面找到剛剛創(chuàng)建好的創(chuàng)建新用戶賬號(hào)事件，再用鼠標(biāo)右鍵單擊該事件選項(xiàng)，從彈出的快捷菜單中點(diǎn)選“將任務(wù)附加到此事件命令，打開觸發(fā)任務(wù)創(chuàng)建向?qū)?duì)話框，依照向?qū)崾驹O(shè)置好新任務(wù)的名稱為“監(jiān)控非法創(chuàng)建賬號(hào)，選中觸發(fā)方式為“顯示消息，將觸發(fā)內(nèi)容設(shè)置為“服務(wù)器系統(tǒng)中有賬號(hào)可能被非法創(chuàng)建，最后單擊“完成按鈕，如此一來(lái)“監(jiān)控非法創(chuàng)建賬號(hào)的觸發(fā)任務(wù)就算創(chuàng)建成功了。

日后，一旦服務(wù)器系統(tǒng)中有人偷偷創(chuàng)建用戶賬號(hào)時(shí)，服務(wù)器系統(tǒng)屏幕上將會(huì)自動(dòng)出現(xiàn)如圖4所示的報(bào)警提示信息，看到這樣的提示信息，網(wǎng)絡(luò)管理員就知道有非法用戶在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號(hào)了，此時(shí)網(wǎng)絡(luò)管理員應(yīng)該及時(shí)將新創(chuàng)建的陌生賬號(hào)刪除掉，以防止陌生賬號(hào)給服務(wù)器的穩(wěn)定運(yùn)行帶來(lái)安全威脅。